プロファイル適用性: レベル1
Kubeletサーバへの匿名リクエストを無効にする。
有効にすると、他の設定された認証方法によって拒否されないリクエストは匿名リクエストとして扱われます。これらのリクエストはKubeletサーバによって処理されます。アクセスを許可し、匿名リクエストを禁止するために認証に依存する必要があります。
 |
注意デフォルトでは、匿名アクセスは
falseに設定されています。 |
影響
匿名リクエストは拒否されます。
監査
OpenShift 4では、Kubernetes構成ファイルはMachine Config Operatorによって管理され、
anonymous-authはデフォルトでfalseに設定されています。各ノードで次のコマンドを実行して匿名認証の設定を行います。
for node in $(oc get nodes -ojsonpath='{.items[*].metadata.name}'); do
oc get --raw /api/v1/nodes/$node/proxy/configz | jq
'.kubeletconfig.authentication.anonymous.enabled'
done
各ノードの構成が
falseを返すことを確認してください。修復
匿名認証を明示的に無効にするために
kubeletconfigを作成します。これを行う方法の例はOpenShiftドキュメントにあります。